501
Jak chránit osobní údaje?
Mgr. Mgr. Radana Burešová, JUDr. Milan Vaňkát
NahoruÚvod
V předcházejících lekcích jsme se primárně zabývali občanským zákoníkem, zákonem o ochraně spotřebitele a případně některými dalšími právními předpisy. Mezi právní předpisy, se kterými by se měl provozovatel e-shopu (prodávající, podnikatel) obeznámit, patří i nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), všeobecně označované jako "GDPR", které nahradilo dřívější zákon č. 101/2000 Sb., o ochraně osobních údajů.
Ačkoli ochrana osobních údajů vstoupila do povědomí veřejnosti teprve až v souvislosti s přijetím GDPR, je třeba si uvědomit, že i původně platný zákon byl založen na principech, které stanovila evropská směrnice a že tedy GDPR ve skutečnosti nepředstavuje v ochraně osobních údajů takovou revoluci, jak by se mohlo zdát.
GDPR však zvýšilo informovanost o nutnosti ochrany osobních důvodů, která se zvyšuje zejména v souvislosti se vzrůstající digitalizací našeho života. Provozovatel e-shopu při prodeji zboží přes internet rovněž pracuje s určitými údaji od svých zákazníků, které eventuálně dále užívá pro své účely. Nicméně taková "práce", či spíše zpracovávání osobních údajů, je státem regulována. Nedodržení stanovených povinností může vést nejen k sankci, ale i k poškození zákazníka.
V této lekci si probereme některá podstatná ustanovení GDPR včetně vysvětlení několika důležitých pojmů. Dále se budeme zabývat povinnostmi, jež z něj plynou pro provozovatele e-shopu. Provedeme rovněž stručný exkurz do zákona č. 480/2004 Sb., o některých službách informační společnosti, a to s ohledem na problematiku tzv. obchodních sdělení. Závěrem budou probrány povinnosti vůči Úřadu pro ochranu osobních údajů.
NahoruZákladní pojmy a povinnosti
Jak již bylo uvedeno výše, problematiku osobních údajů a jejich ochrany upravuje GDPR, a to jednotně pro všechny členské státy Evropské unie. GDPR se vztahuje na osobní údaje, které zpracovávají i fyzické a právnické osoby, a na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. GDPR se naopak nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní či domácí potřebu.
GDPR pracuje s určitými pojmy, které si pro účely výkladu sám definuje. Osobním údajem jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě neboli subjektu údajů. Osobními údaji jsou tak mimo jiné jméno, příjmení, datum narození, místo pobytu, e-mailová adresa, IP adresa počítače, tzn. takové údaje, které provozovatel e-shopu (podnikatel prodávající zboží prostřednictvím internetového obchodu) zjišťuje od spotřebitele, aby mohl splnit své povinnosti z kupní smlouvy uzavírané distančním způsobem, tedy objednané zboží spotřebiteli dodat (k tomu viz rovněž předchozí lekce). Osobní údaje spotřebitelů správce takzvaně zpracovává (k tomu viz níže).
Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Subjektem údajů se rozumí výhradně fyzická osoba, k níž se osobní údaje vztahují.
Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Podnikatel se výše uvedeným konáním automaticky stává tzv. správcem osobních údajů, který je GDPR definován jako fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
Správce nemusí zpracovávat osobní údaje sám, ale může si na to zjednat třetí osobu, tzv. zpracovatele osobních údajů, což je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce (tj. místo něj, na základě jeho pokynů a na jeho zodpovědnost). Zapojení zpracovatele osobních údajů je obvykle vedlejším důsledkem spolupráce s poskytovatelem služeb. Typicky bývá zpracovatelem externí správce počítačové sítě nebo externí účetní. Před tím, než správce zpracovateli umožní, aby za něj zpracovával osobní údaje jeho zákazníků, musí s ním uzavřít písemnou smlouvu o zpracování osobních údajů, která obsahuje náležitosti uvedené v čl. 28 odst. 3 GDPR. Písemná forma je dodržena i tehdy, pokud je smlouva uzavřena elektronicky (ovšem se zaručeným elektronickým podpisem). Co se týká jejích povinných obsahových náležitostí, musí v ní být zejména výslovně stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce a další údaje uvedené v čl. 28 odst. 3 GDPR.
Bez ohledu na to, zda správce zpracovává osobní údaje sám nebo prostřednictvím zpracovatele, veškerou odpovědnost a povinnosti vyplývající z GDPR nese stále on sám, i když obdobné povinnosti má i zpracovatel. GDPR stanoví správci celou řadu povinností a zásad, kterými se musí řídit.
Správce je například povinen osobní údaje zpracovávat:
-
jen v rozsahu, který je naprosto nezbytný pro daný účel zpracování, který musí být legitimní (viz níže právní důvody zpracování), a to bez ohledu na to, zda byl ke zpracování poskytnut souhlas, či k němu dochází z jiného právního důvodu;
-
pouze z důvodů uvedených v článku 6 GDPR, přičemž zpracování osobních údajů na základě souhlasu subjektu údajů by mělo být až…